セキュリティ、インターネット アクセス、および通信ポート
ASA FirePOWER モジュールを保護するには、保護された内部ネットワークにそれをインストールしてください。ASA FirePOWER モジュールは必要なサービスとポートだけを使用するよう設定されますが、ファイアウォール外部からの攻撃がそこまで決して到達できないようにする必要があります。
また、ASA FirePOWER モジュール の機能によってはインターネット接続が必要となることにも注意してください。デフォルトで、ASA FirePOWER モジュールはインターネットに直接接続するよう設定されます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的はセキュアなアプライアンス アクセスおよび特定のシステム機能を正しく動作させるためにローカル/インターネット リソースへのアクセスを可能にすることです。
詳細については、以下を参照してください。
インターネット アクセス要件
デフォルトで、ASA FirePOWER モジュールはポート 443/tcp(HTTPS)および 80/tcp(HTTP)でインターネットに直接接続するよう設定されます。これらのポートは、ASA FirePOWER モジュール上でデフォルトでオープンになっています(通信ポートの要件を参照)。
次の表に、ASA FirePOWER モジュールの特定の機能におけるインターネット アクセス要件を示します。
表 D-1 ASA FirePOWER モジュール機能のインターネット アクセス要件
|
|
侵入ルール、VDB、および GeoDB の更新 |
侵入ルール、GeoDB、または VDB の更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。 |
ネットワークベースの AMP |
マルウェア クラウド検索を実行します。 |
セキュリティ インテリジェンス フィルタリング |
インテリジェンス フィードを含む、外部ソースからのセキュリティ インテリジェンス フィード データをダウンロードします。 |
システム ソフトウェアの更新 |
システム更新をアプライアンスに直接ダウンロードするか、ダウンロードをスケジュールします。 |
URL フィルタリング |
クラウドベースの URL カテゴリおよびレピュテーション データをアクセス コントロール用にダウンロードし、カテゴライズされていない URL に対してルックアップを実行します。 |
whois |
外部ホストの whois 情報を要求します。 |
通信ポートの要件
オープン ポートは以下を許可します。
- アプライアンスのユーザ インターフェイスにアクセスする
- アプライアンスへのリモート接続を保護する
- 特定のシステム機能を正しく動作させるために必要なローカル/インターネット リソースへのアクセスを可能にする
一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままになります。
注意
開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを
閉じないでください。
たとえば、管理デバイス上のポート 25/tcp(SMTP)アウトバウンドを閉じた場合、個別の侵入イベントに関する電子メール通知をデバイスから送信できなくなります(侵入ルールの外部アラートの設定を参照)。
次の表は、ASA FirePOWER モジュールの機能を最大限に活用できるように、必要なオープン ポートを示しています。
表 D-2 ASA FirePOWER モジュールの機能と運用のためのデフォルト通信ポート
|
|
|
|
22/tcp |
SSH/SSL |
双方向 |
アプライアンスへのセキュアなリモート接続を許可します。 |
25/tcp |
SMTP |
発信 |
アプライアンスから電子メール通知とアラートを送信します。 |
53/tcp |
DNS |
発信 |
DNS を使用します。 |
67/udp 68/udp |
DHCP |
発信 |
DHCP を使用します。 (注) これらのポートはデフォルトで閉じられています。 |
|
|
双方向 |
HTTP 経由でカスタムおよびサードパーティのセキュリティ インテリジェンス フィードを更新します。 URL カテゴリおよびレピュテーション データをダウンロードします(さらにポート 443 も必要)。 |
161/udp |
SNMP |
双方向 |
SNMP ポーリング経由でアプライアンスの MIB にアクセスできるようにします。 |
162/udp |
SNMP |
発信 |
リモート トラップ サーバに SNMP アラートを送信します。 |
389/tcp 636/tcp |
LDAP |
発信 |
外部認証用に LDAP サーバと通信します。 |
389/tcp 636/tcp |
LDAP |
発信 |
検出された LDAP ユーザに関するメタデータを取得します。 |
443/tcp |
HTTPS |
着信 |
アプライアンスのユーザ インターフェイスにアクセスします。 |
443/tcp |
HTTPS クラウド通信 |
双方向 |
次のものを取得します。
- ソフトウェア、侵入ルール、VDB、および GeoDB の更新
- URL カテゴリおよびレピュテーション データ(さらにポート 80 も必要)
- インテリジェンス フィードおよび他のセキュアなセキュリティ インテリジェンス フィード
- ファイルに関してネットワーク トラフィックで検出されたマルウェアの性質
|
|
|
デバイスのローカル ユーザ インターフェイスを使用してソフトウェア更新をダウンロードします。 |
514/udp |
syslog |
発信 |
リモート syslog サーバにアラートを送信します。 |
8305/tcp |
アプライアンス通信 |
双方向 |
展開におけるアプライアンス間で安全に通信します。 必須作業です。 |
8307/tcp |
ホスト入力クライアント |
双方向 |
ホスト入力クライアントと通信します。 |